ИИ-плагин в Solar appScreener для ускорения разработки
ГК «Солар» анонсировала интеграцию локальной (on-premise) большой языковой модели DerTriage/DerCodeFix в новую версию платформы комплексной безопасности приложений Solar appScreener. ИИ-плагин в составе Solar appScreener автоматизирует трудоемкие и рутинные операции, которыми на масштабных софтверных проектах занимаются до 10 AppSec-инженеров. Он ускоряет процессы AppSeс, сокращает время вывода приложения в «прод» (time-to-market) и снижает нагрузку на команды ИТ и ИБ.
Как поясняют в «Солар», большинство корпоративных ИТ-разработчиков используют платформы low-code/no-code для части своих разработок. ИИ ускоряет написание кода, но при этом обязательный этап разметки (триажа) уязвимостей становится «бутылочным горлышком» при высоких объемах разработки. ИБ-команды сталкиваются как с нехваткой DevSecOps-инженеров, так и с различным уровнем экспертизы, конфликтом мнений специалистов и закономерным накоплением технического долга.
Для решения этих задач в модуль статического анализа SAST продукта Solar appScreener был интегрирован ИИ-плагин, который содержит две технологии: интеллектуальный триаж SAST-результатов (DerTriage) и автоматическую генерацию исправленного кода уязвимостей (DerCodeFix). «Солар» объединяет в одном продукте информационную безопасность клиентского кода и базу актуальных уязвимостей для российских и международных софтверных проектов, включая опенсорс и другие источники кода. Базой для обучения LLM стали данных проектов по безопасной разработке более 1000 компаний в течение семи лет. ИИ-плагин может быть развернут в закрытом контуре, работает без доступа в интернет, что минимизирует риски утечек данных во внешние сервисы и платформы для обмена кодом.
Технология DerTriage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Точность автоматической верификации уязвимостей составляет 95%. Плагин также настраивается под требования разработчика ПО, позволяет применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Таким образом, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в 500 раз ускоряет устранение уязвимостей, поддерживая производительность команды разработки без ущерба для безопасности продукта.
ИИ-технология автоматического исправления уязвимостей DerCodeFix также предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются в соответствии с принятыми стандартами кодирования, что обеспечивает читабельность, производительность кода и решает проблемы безопасности. Каждое исправление содержит подробное объяснение того, что и почему было изменено. Разработчик может быть уверен в корректной проверке кода и получает дополнительный источник данных для обучения.
Как отмечают в «Солар», данные исследования шести больших языковых моделей на 20 проектах, созданных на языках Java и Python, показали, что модель DerTriage/DerCodeFix демонстрирует 80% точности на этапе верификации (триаж) и 78–83% на этапе исправления уязвимостей (кодфикс). При этом публичные LLM, которые часто используются для этапов триажа и кодфикса, пропускают от 40 до 50% уязвимостей. Этот показатель точности является критичным, создавая риски для компаний, не располагающих штатом квалифицированных AppSec-инженеров, которые могли бы снизить вероятность эксплуатации необнаруженных и неисправленных уязвимостей.
Использование локальной LLM модели, обученной для специфических задач разметки уязвимостей, позволяет снизить уровень ложно положительных срабатываний статических анализаторов. Это снимает часть нагрузки на AppSec специалистов, повышает скорость безопасной разработки и повышает экономическую эффективность софтверных проектов.
Интеграция с надежной ИИ-моделью кратно ускоряет выпуск релизов, подчеркивают в компании. Результаты сканирований обрабатываются за несколько минут даже для проектов с миллионами строк кода, а не недель, как ранее. Соответственно ускоряется и выпуск любого программного продукта, сохраняя при этом высокой уровень безопасности разрабатываемого ПО.